Службы безопасности сети

Службы безопасности сети указывают направления нейтрализации возможных угроз безопасности. Службы безопасности находят свою практическую реализацию в различных механизмах безопасности. Одна и та же служба безопасности может быть реализована с использованием разных механизмов безопасности или их совокупности.

Международная организация стандартизации (МОС) определяет следующие службы безопасности:

1. аутентификация (подтверждение подлинности);

2. обеспечение целостности;

3. засекречивание данных;

4. контроль доступа;

5. защита от отказов.

4. Организация защиты информации в корпоративной сети

Обеспечение безопасности информации в крупных автоматизированных системах является сложной задачей. Реальную стоимость содержащейся в таких системах информации подсчитать сложно, а безопасность информационных ресурсов трудно измерить или оценить.

Объектом защиты в современных АИС выступает территориально распределенная гетерогенная сеть со сложной структурой, предназначенная для распределенной обработки данных, часто называемая корпоративной сетью. Характерной особенностью такой сети является то, что в ней функционирует оборудование самых разных производителей и поколений, а также неоднородное программное обеспечение, не ориентированное изначально на совместную обработку данных.

Решение проблем безопасности АИС заключается в построении целостной системы защиты информации. При этом защита от физических угроз, например доступа в помещения и утечки информации за счет ПЭМИ, не вызывает особых проблем. На практике приходится сталкиваться с рядом более общих вопросов политики безопасности, решение которых обеспечит надежное и бесперебойное функционирование информационной системы.

Главными этапами построения политики безопасности являются следующие:

• обследование информационной системы на предмет установления ее организационной и информационной структуры и угроз безопасности информации;

• выбор и установка средств защиты;

• подготовка персонала работе со средствами защиты;

• организация обслуживания по вопросам информационной безопасности;

• создание системы периодического контроля информационной безопасности ИС.

В результате изучения структуры ИС и технологии обработки данных в ней разрабатывается Концепция информационной безопасности ИС, на основе которых в дальнейшем проводятся все работы по защите информации в ИС. В концепции находят отражение следующие основные моменты:

• организация сети организации;

• существующие угрозы безопасности информации, возможности их реализации и предполагаемый ущерб от этой реализации;

• организация хранения информации в ИС;

• организация обработки информации (на каких рабочих местах и с помощью какого программного обеспечения);

• регламентация допуска персонала к той или иной информации;

• ответственность персонала за обеспечение безопасности.

В конечном итоге на основе Концепции информационной безопасности ИС создается схема безопасности, структура которой должна удовлетворять следующим условиям:

1. защита от несанкционированного проникновения в корпоративную сеть и возможности утечки информации по каналам связи;

2. разграничение потоков информации между сегментами сети;

3. защита критичных ресурсов сети;

4. защита рабочих мест и ресурсов от несанкционированного доступа (НСД);

5. криптографическая защита информационных ресурсов.

В настоящее время не существует однозначного решения, аппаратного или программного, обеспечивающего выполнение одновременно всех перечисленных условий. Требования конкретного пользователя по защите информации в ИС существенно разнятся, поэтому каждая задача решается часто индивидуально с помощью тех или иных известных средств защиты. Считается нормальным, когда 10 – 15% стоимости информации тратится на продукты, обеспечивающие безопасность функционирования сетевой информационной системы.

Защита от несанкционированного проникновения и утечки информации

Основным источником угрозы несанкционированного проникновения в АИС является канал подключения к внешней сети, например, к Internet. Вероятность реализации угрозы зависит от множества факторов, поэтому говорить о едином способе защиты в каждом конкретном случае не представляется возможным. Распространенным вариантом защиты является применение межсетевых экранов или брандмауэров.

Брандмауэр – барьер между двумя сетями: внутренней и внешней, обеспечивает прохождение входящих и исходящих пакетов в соответствии с правилами, определенными администратором сети. Брандмауэр устанавливается у входа в корпоративную сеть, и все коммуникации проходят через него. Возможности межсетевых экранов позволяют определить и реализовать правила разграничения доступа как для внешних, так и для внутренних пользователей корпоративной сети, скрыть, при необходимости, структуру сети от внешнего пользователя, блокировать отправку информации по "запретным" адресам, контролировать использование сети и т.д. Вход в корпоративную сеть становится узким местом, прежде всего для злоумышленника.

Разграничение потоков информации между сегментами сети

В зависимости от характера информации, обрабатываемой в том или ином сегменте сети, и от способа взаимодействия между сегментами реализуют один из следующих вариантов.

В первом варианте не устанавливается никакого разграничения информационных потоков, т.е. защита практически отсутствует. Такой вариант оправдан в случаях, когда ни в одном из взаимодействующих сегментов не хранится и не обрабатывается критичная информация или когда сегменты сетевой информационной системы содержат информацию одинаковой важности и находятся в одном здании, в пределах контролируемой зоны.

Во втором варианте разграничение достигается средствами коммуникационного оборудования (маршрутизаторы, переключатели и т.п.). Такое разграничение не позволяет реализовать защитные функции в полном объеме поскольку, во-первых, коммуникационное оборудование изначально не рассматривается как средство защиты и, во-вторых, требуется детальное представление о структуре сети и циркулирующих в ней информационных потоках.

В третьем варианте предполагается применение брандмауэров. Данный способ применяется, как правило, при организации взаимодействия между сегментами через сеть Internet, когда уже установлены брандмауэры, предназначенные для контроля за потоками информации между информационной системой и сетью Internet.

Защита критичных ресурсов АИС

Наиболее критичными ресурсами корпоративной сети являются серверы, а основным способом вмешательства в нормальный процесс их функционирования является проведение атак с использованием уязвимых мест в аппаратном и программном обеспечении. Атака может быть реализована как из внешней сети, так и из внутренней. Основная задача заключается не столько в своевременном обнаружении и регистрации атаки, сколько в противодействии ей.

Наиболее мощными инструментами защиты, предназначенными для оперативного реагирования на подобные нападения, являются специальные системы, наподобие системы RealSecure, производимой американской корпорацией Internet Security Systems, Inc., которые позволяют своевременно обнаружить и предотвратить наиболее известные атаки, проводимые по сети.

Защита рабочих мест и ресурсов от НСД

До настоящего времени большинство автоматизированных систем ориентируется только на встроенные защитные механизмы сетевых операционных систем. При правильном администрировании такие механизмы обеспечивают достаточную защиту информации на серверах корпоративной сети.

Криптографическая защита информационных ресурсов

Шифрование является одним из самых надежных способов защиты данных от несанкционированного ознакомления. Особенностью применения подобных средств в России является жесткая законодательная регламентация. Для защиты конфиденциальной информации разрешается применять только сертифицированные ФАПСИ продукты. В настоящее время в корпоративных сетях они устанавливаются только на тех рабочих местах, где хранится информация, имеющая очень высокую степень важности.

10